DSA vs. RSA
Хотелось бы услышать преимущества DSA перед RSA. Именно так, а не наоборот :) Понимаю, что довольно странно... Просто полгода назад, когда понадобилось написать некую программу для работы с ЭЦП, не задумываясь выбрал DSA. Зря, может быть, тем более если брать во внимание ключи размером только в килобит. Но переписывать поздно, а вот обосновать свой выбор придется. Пока из недостатков RSA увидел только большое количество условий, которые необходимо проверять при генерации ключей, и возможность мультипликативной атаки. Может быть, кто-нибудь подскажет что-нибудь еще?
комментариев: 11558 документов: 1036 редакций: 4118
А вот обоснованность выбора всецело зависит от области приложения алгоритма...
Не совсем так. Ключ DSA может быть любой длины, но Вам действительно придётся довольствоваться 1024 битами, если хотите следовать нормам стандарта DSS. Заметьте: DSS и DSA — не одно и то же. Если Вы не связаны ограничениями стандарта (например, в целях совместимости с другими приложениями), а лишь ищите подходящий алгоритм, то и вопрос о длине ключа не стоит.
Спасибо, но все же никаких более-менее значительных недостатков RSA я так и не нашел...
Да, я знаю, просто:
1) моя программа – GUI к GnuPG, то есть 1024 бита для DSA – единственно возможный вариант;
2) в PGP DH vs. RSA FAQ нашел такую строчку:
"DSA keys greater than 1024-bits should not technically be called "DSA" as they are no longer compliant with the standard. It is thought that these longer keys do not significantly increase the security offered by the signature scheme."
То есть смысла использовать ключи длиной больше, чем килобит, вроде бы и нет
Ограничениями-то не связан – даже выбрал RIPEMD-160 вместо SHA-1 для генерации хеша для подписи, но от килобитного DSA-ключа никуда не деться.
комментариев: 11558 документов: 1036 редакций: 4118
А Вы предлагаете теорию под практику подводить? ;) Почитайте ещё это, правда там больше внимания уделяется RSA нежели DSA (хотя, это Вам вроде бы и надо). Если хотите совсем убойные аргументы, обратитесь к "трудам" Urix'а (здесь и здесь) — он давно для RSA могилу копает. Однако называть его работы каноническими и совсем уж научными я бы не рискнул.
В данном случае приходится :) Потом все равно скорее всего буду использовать ECDSA, как только его официально в GnuPG включат, но в настоящий момент мне надо обосновать выбор в пользу DSA
Еще раз спасибо. Увидел еще несколько уязвимостей, думаю, всего этого будет вполне достаточно
Да, читал, но как-то это не очень серьезно... Со второй статьей не разбирался, так как не математик, а первая – сплошная публицистика
Кстати, упорно ходят слухи об обнавлении стандарта DSS с использованием более длинных хещ-функций и модулей.
комментариев: 1060 документов: 16 редакций: 32
Ну так ведь дело за малым – надо хеш-функцию выбрать. :)